[00754742]大型网络状态实时监控与安全管理系统

大型网络状态实时监控与管理系统是“国家信息关防与网络安全持续发展计划”批准立项的项目，旨在解决计算机网络安全领域的若干关键问题。项目的研究目标是将协同、智能、移动AgeNt和分布式对象中间件技术引入到大规模网络状态监测和入侵检测系统中，从整体上提高网络系统的安全性。主要研究内容包括基于协同的大型分布式网络监测和响应技术；基于数据挖掘的监测数据综合分析算法与实现技术；基于移动AgeNt的智能网络自管理系统；基于分布对象技术的系统结构模型。基于上述技术所实现的分布式、智能化、协同式网络状态监测、入侵检测和实时响应系统具有以下特点：(1)基于智能检测、分析和危机决策技术。系统集成了数据挖掘和专家系统的优势，不仅可有效的检测常规攻击，还能识别未知攻击，并支持检测模型的更新。全局数据的分析技术能提炼出网络中的复杂行为，综合评估网络的危机状况，向管理人员提供整个系统安全的决策参考。(2)多种实时报警和响应手段：可以通过发送文字、传真、电子邮件、手机短消息、寻呼等手段将报警信息通知系统管理员，并记入日志，以备核查。还能够针对恶意攻击进行实时响应，包括中断TCP会话、伪造ICMP应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK等。(3)体系结构的可扩充性、适应性、平台独立性和开发语言无关性。采用开放式的软件构件模型和CORBA分布对象交互平台使系统结构和功能能够灵活扩充、易于适应环境的变化，并有效的解决了网络和系统的异构性和开发语言的无关性；(4)移动AgeNt技术增强了系统的灵活性。既可以利用移动AgeNt携带监控策略和指令，检查和修改分散的检测器的系统及网络配置，实施对检测器的集中式管理和监视，还可以根据检测器发来的报警信息，分派移动AgeNt对网络进行实时安全控制和故障恢复；该项成果已于2002年12月通过了国家计算机网络与信息安全管理中心的测试和验收，已成功应用于陕西省天力科技公司、西安兴网通信科技公司、西安世讯网络技术公司、陕西吉升电子科技公司和西安文径网络技术公司等。该系统还应用于国家计算机信息网络应用部门，以及公安、安全和信息网络安全管理监察部门。